黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

一种身份识别的新方法————刷心术 (已忽略)

2016-9-25 23:01| 投稿: |来自: 原创


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 安全 身份识别
一种身份识别的新方法————刷心术
 
  每个人所持的银行卡不同,可以刷卡。
  每个人的指纹不同,可以刷指纹。
  每个人的声音不同,可以刷声纹。
  每个人的脸不同,可以刷脸。
 
  每个人的内心也不同,可以刷内心吗?
 
  最近,贸易飞公司公布了一种利用用户内心拥有秘密的不同来识别用户的方法:贸易飞刷心术。
 
  当用户第一次使用系统时[即用户注册时],用户需要先指定一组自己的数学计算公式,并告诉系统。这相当于普通系统的密码设置。
  如,用户告诉系统,我的公式是“第一个数,加上第三个数,再乘以第五个数”。
  这一组公式,就是用户自己内心的秘密,只有用户自己和系统双方知道,不能与他人分享。
  系统根据登录者是否能正确计算这一组公式,来鉴别登录者是否为合法用户。
 
  当用户登录时,系统在登录界面显示一组随机数,用户按自己设定的公式计算后,输入答案。
  如,系统显示的随机数为:123456,则用户计算结果为:(1+3)X 5 = 20
  如,系统显示的随机数为:1357924680,则用户计算结果为:(1+5)X 9 = 54
 
  为了便于用户记忆自己的公式,随机数可以用表格的方式显示。用户可以利用记住解锁图案的方式来记忆公式。
  为了加强系统的安全,用户的公式是一组,由多个单独的公式组成,最后将每一个公式的答案连续输入。
  如下图

  (图1)
  表示:“1+3,3+4,4+9,9+7,7+6,6+1”六个公式,当然,根据用户自己的记忆习惯,也可以表示为“1+3,4+9,7+6”三个公式,或者其他公式。
  当系统将随机数显示给用户时,用户就可以计算出相应的正确答案。
  如,系统显示如下的随机数
  (图2)
  以六个公式“1+3,3+4,4+9,9+7,7+6,6+1”为例,则计算出来的答案为:
  4+9=13
  9+8=17
  8+6=14
  6+1=7
  1+2=3
  2+4=6
  最后,用户连续输入:131714736,就是用户的登录口令。
  用户也可以事前与系统约定,每一个公式,只取最后一位数,则答案为374736。
 
  该方式在具体应用时还可以做许多的变化:
  根据用户自己的喜好与心算能力,公式还可以更复杂,把加减乘除余都用上。
  如果用户的心算能力较弱,则该系统也与普通的密码输入法相兼容。不论随机数如何变化,用户指定固定的数字为自己的输入口令。
 
  贸易飞刷心术的原理就是密码学中的明文攻击。
  系统给出的随机数是密文,答案明文,而内心当中的计算公式就是密钥。
  只要用户指定的算法得当,不论偷窥多少次用户登录,都无法猜解出计算方法。

  该方法适用于重要的,但低频的场合,如网银登录,邮件系统等。
  利用该方法,系统可以向用户下发会话密钥,防范中间人攻击。
  利用该方法,系统可以把用户指令镶嵌到随机数当中,部分地起到数字签名的功能。
 
  该方法有一个演示小程序,可以从网上下载。
  下边是程序运行时的一个截图。
  如下图
  (图3)
  不看右边的说明,仅仅知道答案是“23”,你能猜测出计算方法吗?
 
 

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部